머리말
웹사이트 방문 시 /가 접근 경로에 빠져 있다면, 대부분의 미들웨어는 경로를 자동으로 완성하고 아래 그림으로 302 또는 301 지점 이동을 반환하며, 위치 도메인 이름은 호스트 헤더 값을 사용합니다.
이 상황은 실제로 호스트 헤더 공격을 시도하기가 덜 위험하고 어렵습니다. 하지만 대부분의 취약점 스캐너는 이 상황을 호스트 헤드 공격으로 감지하기 때문에, 대부분의 당사자 A는 상위 검사나 다양한 감사를 통과하기 위해 취약점을 수정하고 문제를 완전히 해결해야 합니다.
점프 경로는 웹 프로젝트에서 정의되지 않고 미들웨어에 의해 자동으로 점프되므로 정적 변수를 작성해서 해결할 수 없으며, 웹 프로젝트의 전역 필터도 차단할 수 없습니다. 웹 서버 수준에서 설정해야 문제를 해결할 수 있습니다. 다음은 일반적인 서버 참조 수정 방법이며, 오류나 부적절한 부분이 있으면 언제든지 수정해 주세요.
아파치:
방법 1: \conf\httpd.conf 파일을 수정하세요
예를 들어, ServerName을 애플리케이션의 도메인 이름으로 수정하는 것
다음 문장을 추가하세요:
그냥 Apache를 재시작하세요.
수정이 성공하면 서버 측에서 설정된 ServerName을 사용할 것입니다.
매개변수 설명:
방법 2:
confhttpd.conf 파일을 수정하세요
다음 구성을 참고하여 추가하세요:
그냥 Apache를 재시작하세요.
기능:
IP 주소 192.168.0.16을 통해 직접 접근 요청을 거부하고, 192.168.0.16을 사용해 접속하면 접근 거부 메시지가 뜨게 됩니다. 통과만 허용됩니다하이퍼링크 로그인이 보입니다.이 도메인 이름 접근은 메인 디렉터리가 C:www를 가리킵니다
방법 3:
confhttpd.conf 파일을 수정하세요
"#LoadModule rewrite_module modules/mod_rewrite.so"를 찾아서 그 앞에 있는 "#" 기호를 제거하세요 다음과 같은 구성을 추가하세요:
그냥 Apache를 재시작하세요.
기능:
HOST 헤더가 192.168.0.16이 아니면 오류 페이지로 리디렉션됩니다.
Nginx:
방법 1:
nginx.conf를 수정하세요
기본 서버를 추가하면, 호스트 헤더가 서버에 맞게 수정되면 기본 서버로 이동하고, 기본 서버는 403 오류를 직접 반환합니다.
예시는 다음과 같습니다:
그냥 nginx를 다시 시작하세요.
방법 2:
nginx.conf를 수정하세요
대상 서버에 탐지 규칙을 추가하려면 다음 빨간색 구성을 참조하세요: 그냥 nginx를 다시 시작하세요.
톰캣:
개조 tomcatconfserver.xml
다음 위치를 확인하세요:
호스트에서 이름을 정적 도메인 이름으로 변경하세요:
수리를 완료하기 위해 톰캣을 재시작하세요.
IIS6.0:
ISAPI_Rewrite 플러그인을 사용해 요청 패키지의 내용을 감지하고 URL을 다시 작성하세요.
플러그인 설치 패키지 및 크랙 도구 다운로드 주소:하이퍼링크 로그인이 보입니다.
다운로드가 완료되면 프로그램을 더블 클릭하고 다음으로 설치하세요.
크래킹 도구를 압축 해제한 후, 세 개의 파일이 그림에 나와 있습니다
크랙된 세 파일을 ISAPI_Rewrite의 설치 디렉터리에 직접 복사해서 붙여넣으세요. 즉, 공식 원본 파일을 덮어쓰세요. 만약 덮어쓸 수 없다면, 먼저 공식 세 파일을 다른 이름으로 바꾼 뒤, 크랙된 세 파일을 다시 복사할 수 있습니다.
교체가 완료되면 ISAPI_Rewrite.dll에 대해 SERVICE 사용자 그룹을 추가하고 읽기, 읽기, 실행 권한을 부여해야 합니다. (이 단계는 매우 중요합니다. 그렇지 않으면 이후 ISAPI_Rewrite이 작동하지 않습니다.)
IIS 관리 도구를 열고 대상 프로젝트를 선택하세요 - > 속성 - > ISAPI 필터 - > 추가(Add - >) 설치한 ISAPI_Rewrite.dll 파일의 경로를 선택하세요 - > OK
IIS를 재시작하고 IIS 관리 도구를 다시 열면, 대상 project-> 속성에서 새로운 ISAPI_Rewrite 태그를 볼 수 있으며, 필요에 따라 .htaccess 규칙을 직접 작성할 수 있습니다.
호스트 헤더 화이트리스트를 설정하려면 다음 규칙을 참고할 수 있습니다.
설정이 완료된 후, 요청 패키지의 호스트 필드가 192.168.2.141로 설정되어 있지 않으면 오류 페이지가 자동으로 점프됩니다.
IIS7.0/7.5/8.0:
마이크로소프트는 요청 URL을 필터링할 수 있는 URL 재작성 모듈 도구를 출시했으며, 이 URL은 본인이 설치해야 하며, 다음은 도구 다운로드 주소입니다:
마이크로소프트 다운로드 주소 (64비트): 하이퍼링크 로그인이 보입니다. 마이크로소프트 다운로드 주소 (32비트): 하이퍼링크 로그인이 보입니다.
다운로드가 완료되면 프로그램을 더블 클릭하고 다음으로 설치하세요.
그 다음 IIS 관리 도구를 재시작하면 IIS 바 아래에 URL 재작성 도구가 있는 것을 볼 수 있습니다.
URL 재작성 기능을 더블 클릭한 후 URL 주소 인바운드 규칙 바에 규칙을 추가하세요.
차단 요청 선택.
아래 그림을 참고하여 규칙을 설정하고, 호스트 헤더에 웹사이트 도메인 이름이나 IP를 입력한 후 확인을 클릭하세요.
방금 만든 규칙을 더블 클릭하세요.
요청의 URL 선택에서 "패턴 일치 안 함"을 선택하고, 사용 항목에서 "매칭 완료"를 선택하며, 액션 유형에서 "요청 중단"을 선택한 후 오른쪽 상단의 적용 버튼을 클릭하세요.
그 후 웹사이트를 재시작하면, 다시 테스트하면 호스트가 192.168.124.149가 아니면 서버가 요청을 중단하여 호스트 헤더에 대한 예방 조치로 작동한다는 것을 알 수 있습니다.
다음에서 재게재:하이퍼링크 로그인이 보입니다.
| 
2021-6-4 11:14:02에 게시됨
|
|
|
|
